EN ESTA PÁGINA
Descripción general del identificador de línea lógica RADIUS (LLID)
Atributos de RADIUS para solicitudes de preautenticación LLID
Configuración de la autenticación previa de identificación de línea lógica (LLID)
Configuración de un puerto y una contraseña para solicitudes de autenticación previa de LLID
Verificar y administrar la configuración de la autenticación previa de LLID
Identificación de línea lógica RADIUS
Descripción general del identificador de línea lógica RADIUS (LLID)
La función de identificación de línea lógica (LLID) ayuda a los proveedores de servicios a mantener una base de datos de clientes confiable y actualizada para aquellos suscriptores que se mueven con frecuencia de una línea física a otra. El LLID está diseñado para proporcionar al proveedor de servicios un ID de estación de llamada configurable para la línea de acceso del suscriptor. El ID de la estación que llama se deriva de la ubicación de la línea física y de la información del cliente suscriptor. La información de línea derivada de la instalación del proveedor de servicios no es amigable para que el mayorista de línea de acceso administre la propiedad de la línea de acceso cuando los suscriptores cambian con frecuencia de ubicación física. La función LLID se basa en un puerto virtual, el LLID, en lugar de la línea física utilizada por el suscriptor. El LLID proporciona gestión de información de línea impulsada por AAA con un proveedor de servicios (generalmente un mayorista).
El LLID es una cadena alfanumérica que se basa en el nombre de usuario del suscriptor y el ID de circuito. El LLID identifica lógicamente la línea del suscriptor y se asigna a la línea física del suscriptor en la base de datos de clientes del proveedor de servicios. Cuando el suscriptor se mueve a una ubicación diferente y una línea física diferente, la base de datos se actualiza para asignar el LLID a la nueva línea física. Debido a que el LLID de la suscriptor permanece constante, proporciona a los proveedores de servicios un medio seguro y confiable para rastrear a los suscriptores y mantener una base de datos de clientes precisa. La administración de suscriptores admite la función LLID para suscriptores de PPP a través de PPPoE, PPPoA y LAC.
Para asignar un LLID a un suscriptor, el enrutador emite dos solicitudes de acceso RADIUS. La primera solicitud es una solicitud de autenticación previa, que obtiene el LLID de un servidor de autenticación previa de RADIUS. La segunda solicitud es la solicitud de autenticación estándar enviada al servidor de autenticación de RADIUS.
La siguiente secuencia de pasos describe cómo la administración de suscriptores obtiene y utiliza el LLID. El procedimiento supone que la autenticación previa está habilitada en el enrutador y que los servidores de autenticación previa y autenticación de RADIUS están configurados.
El suscriptor PPP envía un mensaje de solicitud de autenticación al enrutador.
El enrutador envía un mensaje de solicitud de acceso al servidor de preautenticación de RADIUS para obtener un LLID para el suscriptor.
El servidor de autenticación previa devuelve el LLID al enrutador en el atributo Calling-Station-ID (atributo RADIUS 31) en el mensaje Access-Accept.
Nota:Este paso incluye un uso no estándar del atributo Calling-Station-Id. Este atributo suele estar presente en los mensajes de solicitud de RADIUS, como una solicitud de acceso, no en los mensajes de respuesta. Además, el enrutador pasa por alto todos los atributos de RADIUS, excepto el calling station-id, que se devuelven en el mensaje de aceptación de acceso de autenticación previa. Además, cualquiera radius options que esté configurado en el enrutador, como calling-station-id-format, no tiene ningún efecto en el atributo Calling-Station-Id en la solicitud de autenticación previa.
El enrutador codifica el calling station-id (el LLID) en un segundo mensaje de solicitud de acceso y envía el mensaje al servidor de autenticación de RADIUS. Esta solicitud de autenticación es el uso estándar del atributo Calling-Station-ID.
El servidor de autenticación de RADIUS devuelve un mensaje de aceptación de acceso al enrutador. El mensaje Access-Accept incluye atributos para la sesión del suscriptor.
Nota:Una vez que el servidor de autenticación de RADIUS haya autenticado correctamente al suscriptor previamente autenticado, todos los mensajes de solicitud de RADIUS subsiguientes, como los mensajes de solicitud de contabilidad, incluirán el LLID en el atributo Calling-Station-ID.
Para suscriptores PPP en túnel, el enrutador, que actúa como un concentrador de acceso L2TP (LAC), codifica el LLID en AVP de número llamante (atributo L2TP 22) y envía el atributo al servidor de red L2TP (LNS) en un paquete de solicitud de llamada entrante (ICRQ). Después de una solicitud de autenticación previa correcta, el enrutador siempre codifica el LLID en el AVP del número de llamada L2TP.
Atributos de RADIUS para solicitudes de preautenticación LLID
En la tabla 1 se enumeran los atributos GTI-I de RADIUS utilizados en una solicitud de autenticación previa para obtener el LLID de un suscriptor y se describe la información que se incluye en los atributos. En algunos casos, la autenticación previa utiliza un atributo para la información que es diferente a la descripción de GTI-I: la tabla indica cualquier uso no estándar de los atributos de RADIUS.
Número de atributo |
Nombre del atributo |
Descripción |
|---|---|---|
1 |
Nombre de usuario |
(Uso no estándar del atributo.) Información identificativa del usuario asociado al LLID, en el siguiente formato.
Ejemplo:
Nota:
El enrutador elimina cualquier información generada dinámicamente del atributo User-Name durante la autenticación previa. |
2 |
Contraseña de usuario |
(Uso no estándar del atributo.) Contraseña del usuario que se va a autenticar. Ejemplo: Siempre establecido en |
4 |
Dirección IP de NAS |
Dirección IP del servidor de acceso a la red (NAS) que solicita la autenticación del usuario Ejemplo: |
5 |
Puerto NAS |
Número de puerto físico del NAS que autentica al usuario. Siempre interpretado como un campo de bits |
6 |
tipo de servicio |
Tipo de servicio que el usuario solicitó o el tipo de servicio que se proporcionará. Ejemplo: |
61 |
Tipo de puerto NAS |
Tipo de puerto físico que el NAS utiliza para autenticar al usuario. Puede usar la |
77
|
Connect-Info |
(Uso no estándar del atributo.) El nombre de usuario. Ejemplo: |
87 |
ID de puerto NAS |
Cadena de texto que identifica la interfaz física del NAS que autentica al usuario. Incluye cualquier información generada dinámicamente. Ejemplo: |
Configuración de la autenticación previa de identificación de línea lógica (LLID)
La función de identificación de línea lógica (LLID) permite a los proveedores de servicios rastrear a los suscriptores sobre la base de un puerto virtual, el LLID, en lugar de por el puerto físico utilizado por el suscriptor. El LLID lo asigna un servidor de preautenticación RADIUS, que se configura en un perfil de acceso.
Para configurar el enrutador para que admita la autenticación previa para la función LLID:
No puede configurar las instrucciones de autenticación previa en este procedimiento si ha configurado la radius attributes exclude instrucción para excluir el atributo Calling-Station-ID de los mensajes de solicitud de acceso de RADIUS.
Especifique el perfil de acceso que desea utilizar para la compatibilidad con la autenticación previa del suscriptor.
[edit]user@host# edit access profile profile-nameEspecifique el orden en que el enrutador utiliza los métodos de autenticación previa admitidos. radius es el único método de autenticación compatible.
[edit access profile profile-name]user@host# set preauthentication-order radiusEspecifique que desea configurar la compatibilidad con RADIUS.
[edit access profile profile-name]user@host# edit radiusEspecifique la dirección IP del servidor de RADIUS utilizado para la autenticación previa.
[edit access profile profile-name radius]user@host# set preauthentication-server 192.168.100.10Nota:La función de autenticación previa utiliza los
retryparámetros ytimeoutque se configuran para el servidor de autenticación de RADIUS.(Opcional) Muestra estadísticas de autenticación previa de AAA.
user@host>
show network-access aaa statistics preauthenticationPreauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(Opcional) Compruebe la configuración del servidor de autenticación previa de RADIUS.
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
Configuración de un puerto y una contraseña para solicitudes de autenticación previa de LLID
Puede configurar un enrutador que funcione como cliente de RADIUS para que se ponga en contacto con un servidor de RADIUS para solicitudes de autenticación y preautenticación en dos puertos UDP diferentes y con contraseñas secretas diferentes. De manera similar a la configuración de los números de puerto para solicitudes de autenticación y contabilidad, puede definir un número de puerto único que el enrutador utilizará para ponerse en contacto con el servidor RADIUS para las solicitudes de autenticación previa de identificación de línea lógica (LLID). También puede definir una contraseña única para las solicitudes de autenticación previa. Si no configura un puerto UDP independiente o un secreto para fines de autenticación previa, se utilizará el mismo puerto UDP y el mismo secreto que configure para los mensajes de autenticación.
Para configurar un número de puerto UDP único que se utilizará para ponerse en contacto con el servidor de RADIUS en el caso de las solicitudes de autenticación previa, incluya la preauthentication-port port-number instrucción en el nivel de [edit access radius-server server-address] jerarquía o [edit access profile profile-name radius-server server-address] .
Para especificar el puerto UDP para todos los perfiles de acceso:
[edit access] radius-server server-address { preauthentication-port port-number; }Para especificar el puerto UDP para un perfil de acceso específico:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
Para configurar la contraseña que se utilizará para ponerse en contacto con el servidor de autenticación previa de RADIUS, incluya la preauthentication-secret password instrucción en el nivel [edit access radius-server server-address] o [edit access profile profile-name radius-server server-address] jerárquico.
Para especificar la contraseña de todos los perfiles de acceso:
[edit access] radius-server server-address { preauthentication-secret password; }Para especificar la contraseña de un perfil de acceso específico:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }
Verificar y administrar la configuración de la autenticación previa de LLID
Propósito
Muestra estadísticas e información de configuración relacionadas con la autenticación previa de la identificación de línea lógica (LLID).
Acción
Para mostrar estadísticas de autenticación previa de LLID:
user@host> show network-access aaa statistics preauthentication
Para mostrar información sobre los servidores de autenticación previa:
user@host> show network-access aaa radius-servers